Пример разработки политики брандмауэра

Относится к:

  • Windows 10
  • Windows 11
  • Windows Server 2016 и более поздние версии

В этом примере фиктивной компанией Woodgrove Bank является учреждение финансовых услуг.

Woodgrove Bank имеет домен Active Directory, который предоставляет управление на основе групповой политики для всех Windows устройств. Контроллеры домена Active Directory также могут использовать систему доменных имен (DNS) для разрешения имен хостов. Отдельные устройства Windows службы имени Интернета (WINS) для разрешения имен сетевой базовой системы ввода и вывода (NetBIOS). Набор устройств, работающих UNIX, предоставляет службы динамического протокола конфигурации хост (DHCP) для автоматического IP-адреса.

Банк Woodgrove находится в процессе переноса своих устройств из Windows Vista и Windows Server 2008 в Windows 10 и Windows Server 2016. Значительное число устройств в Банке Woodgrove продолжает работать Windows Vista и Windows Server 2008. Необходимо поддерживать связь между предыдущими и новыми операционными системами. По возможности функции безопасности, применяемые к более новым операционным системам, также должны применяться к предыдущим операционным системам.

Ключевая бизнес-программа WGBank состоит из клиентской программы, запущенной на большинстве настольных устройств в организации. Эта программа имеет доступ к нескольким устройствам переднего сервера, которые управляют серверной частью WGBank. Эти серверы только обрабатывают серверы— они не хранят данные. Данные хранятся в нескольких устройствах базы данных с Microsoft SQL Server.

Требования к проектированию

Администраторы сети хотят реализовать брандмауэр Защитник Windows с расширенными средствами безопасности на всей территории организации, чтобы обеспечить дополнительный уровень безопасности для общей стратегии безопасности. Они хотят создать правила брандмауэра, которые позволяют работать бизнес-программам, блокируя не нужный сетевой трафик.

На следующем рисунке показаны потребности в защите трафика для этого примера разработки.

пример разработки 1.

  1. Серверы сетевой инфраструктуры, на которые работают службы, такие как Active Directory, DNS, DHCP или WINS, могут получать нежелательные входящие запросы от сетевых клиентов. Сетевые клиенты могут получать ответы с серверов инфраструктуры.

  2. Фронт-серверы WGBank могут получать нежелательный входящий трафик с клиентских устройств и серверов партнеров WGBank. Клиентские устройства и серверы партнеров WGBank могут получать ответ.

  3. Фронт-серверы WGBank могут отправлять обновленную информацию на клиентские устройства для поддержки отображения в режиме реального времени. Клиенты не оповескуют об этом нежелательном трафике, но должны иметь возможность его получить.

  4. Серверы заднего плана WGBank могут получать SQL запросы с серверов переднего плана WGBank. Соответствующие ответы могут получать серверы переднего входа WGBank.

  5. Прямой связи между клиентские устройства и устройствами задней части WGBank не существует.

  6. Не существует нежелательного трафика с серверов WGBank на серверы переднего сервера WGBank.

  7. Политика компании запрещает использование одноранговых программ передачи файлов. В недавнем обзоре ИТ-сотрудников было установлено, что, хотя брандмауэр периметра не позволяет работать большинству программ этой категории, сотрудники используют две программы, не требуя внешнего сервера. Правила брандмауэра должны блокировать сетевой трафик, созданный этими программами.

  8. Серверы партнеров WGBank могут получать входящие запросы с партнерских устройств через Интернет.

Другие заметки о трафике:

  • Устройства не должны получать нежелательный трафик с любого компьютера, кроме специально разрешенного выше.

  • Разрешен другой исходящие сетевые трафик с клиентских устройств, не определенного в этом примере.

Сведения о проектировании

Банк Woodgrove использует группы Active Directory и объекты групповой политики для развертывания параметров и правил брандмауэра на устройствах в их сети. Они знают, что они должны развертывать политики в следующих коллекциях устройств:

  • Клиентские устройства, Windows 11, Windows 10, Windows 8 или Windows 7

  • Серверы WGBank, которые работают Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 или Windows Server 2008 R2 (пока их нет, но их решение должно поддерживать их добавление)

  • Серверы партнеров WGBank, Windows Server 2008

  • Устройства заднего SQL Server WGBank, которые работают Windows Server 2008 (пока их нет, но их решение должно поддерживать их добавление)

  • Серверы инфраструктуры, Windows Server 2008

  • Контроллеры домена Active Directory, Windows 2008 R2 или Windows Server 2012

  • Серверы DHCP, которые управляют UNIX операционной системой

После оценки этих наборов устройств и сравнения их со структурой организационного подразделения Active Directory администраторы сети Woodgrove Bank определили, что между OUs и наборами не было хорошего совпадения. Поэтому GGP брандмауэра не будут напрямую связаны с OUs, которые удерживают соответствующие устройства. Вместо этого GPOs связаны с контейнером домена в Active Directory, а затем К GPO присоединяются фильтры WMI и группы, чтобы убедиться, что он применяется к правильным устройствам.

Настройка групп, как описано здесь, гарантирует, что вам не нужно знать, какая операционная система запущена компьютером, прежде чем назначать ее группе. Сочетание фильтров WMI и фильтров групп безопасности используется для обеспечения того, чтобы члены группы получали GPO, соответствующее версии Windows на этом компьютере. Для некоторых групп может быть четыре или даже пять GPOs.

Следующие группы были созданы с помощью оснастки пользователей Active Directory и компьютеров Microsoft Management Console (MMC), и все устройства, Windows, были добавлены в правильные группы:

  • CG_FIREWALL_ALLCOMPUTERS. Добавьте предопределяемую и системную группу управляемых компьютеров домена в качестве члена этой группы. Все члены группы FIREWALL_ALLCOMPUTERS получают GPO для операционной системы с общими правилами брандмауэра, применяемыми ко всем устройствам.

    Два типа устройств (клиент и сервер) отличаются с помощью фильтров WMI для обеспечения того, чтобы к этому компьютеру применялась только политика, предназначенная для устройств с клиентской версией Windows. Аналогичный фильтр WMI на сервере GPO гарантирует, что применять этот GPO могут только устройства с Windows серверами. Каждый из GPOs также имеет фильтры групп безопасности, чтобы запретить членам группы FIREWALL_NO_DEFAULT получать любой из этих двух GPOs.

    • Клиентские устройства получают GPO, Защитник Windows брандмауэра для обеспечения выполнения Защитник Windows брандмауэра по умолчанию (разрешить исходящие, блокировать нежелательные входящие). GPO клиента по умолчанию также включает встроенные группы правил брандмауэра Core Networking и File and Printer Sharing. Группа Core Networking включена для всех профилей, в то время как группа общего доступа к файлам и принтерам включена только для профилей домена и частных. GPO также включает входящие правила брандмауэра, позволяющие информационной панели переднего сервера WGBank обновлять трафик, а также правила для предотвращения отправки или получения сетевого трафика, как входящие, так и исходящие программы, запрещенные в компании.

    • Серверные устройства получают GPO, включаемую аналогичную конфигурацию брандмауэра для GPO клиентского компьютера. Основное отличие состоит в том, что правила включены для всех профилей (не только доменных и частных). Кроме того, не включены правила обновления панели мониторинга WGBank, так как оно не требуется на серверных устройствах.

    Все правила позволяют разрешить сетевой трафик только с устройств в корпоративной сети Банка Вудгроув.

  • CG_FIREWALL_NO_DEFAULT. Участники этой группы не получают GPO брандмауэра по умолчанию. Устройства добавляются в эту группу, если существует бизнес-требование об исключении из брандмауэра по умолчанию. Использование группы для представления исключений вместо непосредственно членов группы упрощает поддержку динамического характера населения клиентского компьютера. Новый компьютер, подключился к домену, автоматически получает соответствующее GPO брандмауэра по умолчанию, если он не является членом этой группы.

  • CG_FIREWALL_WGB_FE. Эта группа содержит учетные записи компьютера для всех устройств переднего сервера WGBank. Члены этой группы получают GPO, которое настраивает брандмауэр Защитник Windows с входящие правила брандмауэра, чтобы разрешить нежелательный трафик клиентов WGBank. Устройства в этой группе также получают GPO брандмауэра по умолчанию.

  • CG_FIREWALL_WGB_SQL. Эта группа содержит учетные записи компьютера для всех устройств WGBank, которые работают SQL Server. Члены этой группы получают GPO, которое настраивает брандмауэр Защитник Windows с входящие правила брандмауэра, чтобы позволить программе SQL Server получать нежелательные запросы только с фронт-серверов WGBank. Устройства в этой группе также получают GPO брандмауэра по умолчанию.

  • CG_FIREWALL_BOUNDARY_WGBANKFE. Эта группа содержит учетные записи компьютера для серверов, на которые размещены веб-службы, к ним можно получить доступ из Интернета. Члены этой группы получают GPO, которое добавляет правило входящий брандмауэр, чтобы разрешить входящий трафик http и HTTPS сети с любого адреса, включая Интернет. Устройства в этой группе также получают GPO брандмауэра по умолчанию.

  • CG_FIREWALL_WINS. Эта группа содержит учетные записи компьютера для всех устройств wins server. Члены этой группы получают GPO, которое настраивает брандмауэр Защитник Windows брандмауэра с правилом входящий брандмауэр, чтобы разрешить нежелательные входящие запросы от клиентов WINS. Устройства в этой группе также получают GPO брандмауэра по умолчанию.

  • CG_FIREWALL_ADDC. Эта группа содержит все учетные записи компьютера для устройств контроллера контроллера домена Active Directory. Члены этой группы получают GPO, которое настраивает брандмауэр Защитник Windows с входящие правила брандмауэра, чтобы разрешить нежелательный клиент Active Directory и трафик от сервера к серверу. Устройства в этой группе также получают GPO брандмауэра по умолчанию.

В своем собственном дизайне создайте группу для каждой роли компьютера в организации, которая требует различных или дополнительных правил брандмауэра. Например, файловые серверы и печатные серверы требуют дополнительных правил для допуска входящих сетевых трафика для этих функций. Если функция обычно выполняется на большинстве устройств в сети, можно добавить устройства, исполняющие эти роли, к общему набору GPO брандмауэра по умолчанию, если нет причины для ее невключения.

Далее: Пример разработки политики изоляции домена